В DNS-сервере Unbound выявлена уязвимость (CVE-2019-18934), которая может привести к выполнению кода атакующего при получении специально оформленных ответов. Системы подвержены проблеме только при сборке Unbound с модулем ipsec ("--enable-ipsecmod") и включением ipsecmod в настройках. Уязвимость проявляется начиная с версии 1.6.4 и устранена в выпуске Unbound 1.9.5.
Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды ipsecmod-hook, в случае получения запроса для домена, для которого присутствуют записи A/AAAA и IPSECKEY. Подстановка кода осуществляется через указание специально оформленного доменного имени в полях qname и gateway, привязанных к записи IPSECKEY.
Источник: https://www.opennet.ru/opennews/art.shtml?num=51900
(opennet.ru, мини-новости)
[ON] Уязвимость в DNS-сервере Unbound, допускающее удалённое выполнение кода
Модератор: Модераторы разделов